Ero sivun ”Openvpn” versioiden välillä
Rivi 1: | Rivi 1: | ||
OpenVPN on avoimella lähdekoodilla toimiva VPN. Tämä on yksi maailman turvallisimmista VPN protokolista, jota tietääksemme NSA ei ole vielä murtanut. OpenVPN eroaa muista VPN protokolista, että vaatii erillisen asiakasohjelman muodostaakseen yhteyden palvelimeen. | OpenVPN on avoimella lähdekoodilla toimiva VPN. Tämä on yksi maailman turvallisimmista VPN protokolista, jota tietääksemme NSA ei ole vielä murtanut. OpenVPN eroaa muista VPN protokolista, että vaatii erillisen asiakasohjelman muodostaakseen yhteyden palvelimeen. | ||
+ | ===== Esimerkkimme ===== | ||
+ | |||
+ | Esimerkissämme luomma yhteyden konffijh:n kotipalvelimelta gugglan koneelle. konffijh:lla on kotona hp palvelin missä on virtuaalidebian ja koululla on samanlainen hp kone missä on myös virtuaalidebian. Kotona on openvpnserveri ja koululla taas clientti | ||
+ | |||
+ | Jh:n verkko kotona: 192.168.112.0/24 | ||
+ | kotigw: 192.168.112.254 (mikrotikki :) ) | ||
+ | openvpnservu: 192.168.112.3 | ||
+ | openvpnclientti: 192.168.7.7 | ||
+ | jh:n säätöverkko koulussa: 192.168.7.0/24 | ||
+ | portti: 1723 (koska turun tietohallinnon muuri joka estää...) | ||
== Serverin konffaus == | == Serverin konffaus == | ||
Rivi 14: | Rivi 24: | ||
Luo avaimet seuraavasti /etc/openvpn/easy-rsa/2.0 hakemistossa (jos et tiedä mitä vastata kysymyksiin avaimia luotaessa, katso | Luo avaimet seuraavasti /etc/openvpn/easy-rsa/2.0 hakemistossa (jos et tiedä mitä vastata kysymyksiin avaimia luotaessa, katso | ||
+ | OpenVPN HOWTO): | ||
− | |||
. ./vars | . ./vars | ||
./clean-all | ./clean-all | ||
Rivi 23: | Rivi 33: | ||
./build-dh | ./build-dh | ||
− | Sijoita luomasi avaimet haluamaasi paikkaan. Omani ovat /etc/openvpn/ | + | Sijoita luomasi avaimet haluamaasi paikkaan. Omani ovat /etc/openvpn/dataa-hakemistossa |
Alla konfiguraatiotiedosto palvelimelle | Alla konfiguraatiotiedosto palvelimelle | ||
5. | 5. | ||
− | + | dev tun | |
− | + | port 1723 | |
− | + | proto tcp | |
− | + | ca /etc/openvpn/dataa/ca.crt | |
− | + | cert /etc/openvpn/dataa/server.crt | |
− | + | key /etc/openvpn/dataa/server.key | |
− | + | dh /etc/openvpn/dataa/dh1024.pem | |
− | + | server 10.10.7.0 255.255.255.0 | |
− | + | ifconfig-pool-persist ipp.txt | |
− | + | comp-lzo | |
− | + | persist-key | |
− | + | persist-tun | |
− | + | status /var/log/openvpn-status.log | |
− | + | verb 3 | |
− | + | client-to-client | |
− | + | client-config-dir ccd | |
− | + | route 192.168.0.0 255.255.255.0 | |
− | + | route 192.168.176.0 255.255.255.0 | |
− | + | route 192.168.180.0 255.255.255.0 | |
− | + | route 10.1.1.0 255.255.255.0 | |
− | + | route 10.5.25.0 255.255.255.0 | |
− | + | route 10.5.26.0 255.255.255.0 | |
+ | route 10.5.27.0 255.255.255.0 | ||
+ | route 10.20.0.0 255.255.0.0 | ||
+ | route 10.245.0.0 255.255.0.0 | ||
+ | route 192.168.88.0 255.255.255.0 | ||
+ | |||
+ | |||
6. Luo ethernet-silta lisäämällä /etc/network/interfaces -tiedostoon seuraavat rivit, missä eth0:n tilalla on sisäverkkosi verkkoadapteri ja ip-osoite tiedot vastaavat sisäverkkosi asetuksia: | 6. Luo ethernet-silta lisäämällä /etc/network/interfaces -tiedostoon seuraavat rivit, missä eth0:n tilalla on sisäverkkosi verkkoadapteri ja ip-osoite tiedot vastaavat sisäverkkosi asetuksia: | ||
Versio 17. syyskuuta 2014 kello 08.05
OpenVPN on avoimella lähdekoodilla toimiva VPN. Tämä on yksi maailman turvallisimmista VPN protokolista, jota tietääksemme NSA ei ole vielä murtanut. OpenVPN eroaa muista VPN protokolista, että vaatii erillisen asiakasohjelman muodostaakseen yhteyden palvelimeen.
Esimerkkimme
Esimerkissämme luomma yhteyden konffijh:n kotipalvelimelta gugglan koneelle. konffijh:lla on kotona hp palvelin missä on virtuaalidebian ja koululla on samanlainen hp kone missä on myös virtuaalidebian. Kotona on openvpnserveri ja koululla taas clientti
Jh:n verkko kotona: 192.168.112.0/24 kotigw: 192.168.112.254 (mikrotikki :) ) openvpnservu: 192.168.112.3 openvpnclientti: 192.168.7.7 jh:n säätöverkko koulussa: 192.168.7.0/24 portti: 1723 (koska turun tietohallinnon muuri joka estää...)
Serverin konffaus
Asennetaan openvpn, openssl ja bridge-utils palvelimeen.
apt-get install openvpn openssl bridge-utils
Kopioi:
cp -R /usr/share/doc/openvpn/examples/easy-rsa /etc/openvpn
Luo avaimet seuraavasti /etc/openvpn/easy-rsa/2.0 hakemistossa (jos et tiedä mitä vastata kysymyksiin avaimia luotaessa, katso
OpenVPN HOWTO):
. ./vars ./clean-all ./build-ca ./build-key-server server ./build-key client ./build-dh
Sijoita luomasi avaimet haluamaasi paikkaan. Omani ovat /etc/openvpn/dataa-hakemistossa Alla konfiguraatiotiedosto palvelimelle
5.
dev tun port 1723 proto tcp ca /etc/openvpn/dataa/ca.crt cert /etc/openvpn/dataa/server.crt key /etc/openvpn/dataa/server.key dh /etc/openvpn/dataa/dh1024.pem server 10.10.7.0 255.255.255.0 ifconfig-pool-persist ipp.txt comp-lzo persist-key persist-tun status /var/log/openvpn-status.log verb 3 client-to-client client-config-dir ccd route 192.168.0.0 255.255.255.0 route 192.168.176.0 255.255.255.0 route 192.168.180.0 255.255.255.0 route 10.1.1.0 255.255.255.0 route 10.5.25.0 255.255.255.0 route 10.5.26.0 255.255.255.0 route 10.5.27.0 255.255.255.0 route 10.20.0.0 255.255.0.0 route 10.245.0.0 255.255.0.0 route 192.168.88.0 255.255.255.0
6. Luo ethernet-silta lisäämällä /etc/network/interfaces -tiedostoon seuraavat rivit, missä eth0:n tilalla on sisäverkkosi verkkoadapteri ja ip-osoite tiedot vastaavat sisäverkkosi asetuksia:
auto br0 iface br0 inet static address 192.168.2.1 netmask 255.255.255.0 broadcast 192.168.2.255 network 192.168.2.0 pre-up openvpn –mktun –dev tap0 bridge_ports eth0 tap0
7. Käynnistä verkko uudestaan /etc/init.d/network restart komennolla 8. Avaa UDP-portti 1194 palomuurissasi ja lisää myös tarvittavat säännöt tap0- ja br0-adaptereille esim. seuraavasti (tämä tapa voi erota käyttämästäsi tavasta, joten sovella tarvittaessa):
iptables -A INPUT -i tap0 -j ACCEPT iptables -A INPUT -i br0 -j ACCEPT iptables -A FORWARD -i br0 -j ACCEPT
9. Tämän jälkeen tarvitset vielä OpenVPN:n (Windows GUI) ja konfiguraatiotiedoston clientille:
proto udp dev tap client remote serverin_osoite 1194 cipher AES-256-CBC comp-lzo ns-cert-type server redirect-gateway def1 persist-key persist-tun ca ca.crt cert client.crt key client.key ping 60 ping-exit 180 ping-timer-rem verb 3
Näin sinulla on toimiva OpenVPN-konfiguraatio ja voit tunneloida yhteyksiäsi turvallisesti ja helposti. Heitä kommenttia jos joku asia jäi epäselväksi tai ohjeissa on sinun mielestäsi jotain, minkä voisin tehdä paremmin :)
http://ilar.in/2008/08/01/vpn-tunneli-openvpn-sillattuna-udp-yli-ubuntu-debian/
pam auth
Client side:
Prompt for username/password at startup time auth-user-pass
Server side:
This enables username/password checks. plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so system-auth
[muokkaa]Linkkejä
http://wiki.xdroop.com/space/Linux/OpenVPN/PAM+Authentication
http://www.wikihow.com/Enable-Windows-XP-Routing
http://ilar.in/2008/08/01/vpn-tunneli-openvpn-sillattuna-udp-yli-ubuntu-debian/
Http proxy
Http proxyn asettaminen openvpn
http-proxy 192.168.4.1 1080
Debian 6:sen openvpn:ssä on bugi jonka seurauksena openvpn kaatuu. Ongelman voi korjata laittamalla kyseisen option
http-proxy-retry
Linkki bugiin:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=514718
desdi